Jakich technik używają hakerzy? Wirusy i wyrafinowane włamania na serwery są na szarym końcu

Najsłabszym elementem systemów bezpieczeństwa są ludzie – pisze w swojej książce „Sztuka podstępu” Kevin Mitnick – najbardziej znany (i uważany niegdyś za najniebezpieczniejszego na świecie) haker. Mitnick spędził w więzieniu pięć lat. Historie o jego możliwościach były tak rozdmuchane, że w czasie odsiadki nie miał nawet dostępu do telefonu. Obawiano się bowiem, że może rozpocząć wojnę jądrową, gwiżdżąc do urządzenia. Nic takiego oczywiście się nie stało, bo chociaż Mitnick potrafił wykorzystywać technologię do swoich celów, to jego główną bronią była właśnie socjotechnika.

W największym skrócie: ataki określane mianem socjotechniki to próby wyłudzenia informacji lub skłonienia osoby do wykonania szkodliwej czynności poprzez działanie psychologiczne. Dzięki skutecznemu atakowi socjotechnicznemu haker może uzyskać dostęp do systemów i sieci, które inaczej byłyby poza jego zasięgiem. Najłatwiej wytłumaczyć to prostym przykładem. Dzwoni do nas telefon, odbieramy i słyszymy osobę, która przedstawia się jako przedstawiciel naszego banku. Osoba informuje nas, że w banku doszło do włamania na serwery i z kont zniknęły pieniądze. "Pracownik" tłumaczy, że dzwoni do nas, aby potwierdzić, czy nasze konto jest bezpieczne. Zaniepokojeni o stan swojego majątku oczywiście też chcemy się tego dowiedzieć. Jednak przed podaniem szczegółów operator z banku prosi nas o podanie kodu uwierzytelniającego, który znamy tylko my. Podajemy kod, pracownik chwilę spędza na sprawdzaniu danych i informuje nas, że pieniądze są bezpieczne. Oddychamy z ulgą, dziękujemy pracownikowi banku za telefon i życzymy mu miłego dnia. Tylko że to tak naprawdę nie był pracownik banku, nie było włamania na serwery, a pieniądze jak leżały bezpiecznie, tak leżą - przynajmniej jeszcze przez chwilę. Zmieniło się tylko to, że nieznajomej osobie podaliśmy swój tajny numer do obsługi konta przez telefon.

Pod tego typu atak można też podciągnąć popularną w naszym kraju (niestety) metodę wyłudzania pieniędzy od starszych ludzi „na wnuczka” czy „na policjanta”. Z kolei znanym sposobem atakowania firm jest tzw. sposób „na dyrektora”. W takim wypadku atakujący zaczyna od zrobienia analizy firmy. Sprawdza jaka jest jej struktura, kto w niej pracuje i jaki jest schemat adresów e-mailowych w firmie (często jest to np. imię.nazwisko@domena). Mając takie informacje atakujący może podszyć się pod dyrektora lub menedżera i np. zlecić „podwładnemu” wykonanie przelewu czy wysłanie poufnych informacji.

- Każdy atak zaczynamy od zrobienia researchu o firmie i znalezieniu tzw. „punktów wejścia”. Często są nimi właśnie pracownicy – mówi w rozmowie z WP Leszek Tasiemski z F-Secure, który na co dzień przeprowadza testy bezpieczeństwa na zamówienie. - Czasem wystarczy wysłać e-mail lub zadzwonić, aby dostać informacje, które pozwolą wejść do systemu.

Ataki socjotechniczne to nie tylko e-maile czy telefony. To każda czynność, dzięki której haker próbuje oszukać, zmylić i wprowadzić w błąd, a nowe technologie dostarczają coraz to nowszych sposobów. Są to m.in.:

- Media społecznościowe - np. ktoś może założyć profil podobny do profilu twojego znajomego i wysyłać wiadomości na komunikatorze.
- SMS-y - haker może wysyłać wiadomości z nieznajomego ci numeru i podszywać się pod kogoś innego, tłumacząc, że ma nowy telefon.
- Serwisy randkowe - niedawno mogliśmy przeczytać o akcji wymierzonej przeciwko izraelskim żołnierzom, w której członkowie Hezbollahu podszywali się pod atrakcyjne kobiety, aby wyciągnąć wrażliwe informacje.
- Ataki przeprowadzane osobiście - haker może np. przyjść do firmy na rozmowę rekrutacyjną i poprosić sekretarkę o wydrukowanie CV z pendrive’a, który zainfekuje komputer w momencie podłączenia.

Rządowy zespół zajmujący się zagrożeniami w internecie, CERT Polska, tłumaczy, że najważniejsza w walce z atakami socjotechnicznymi jest czujność i uwrażliwienie na nietypowe sytuacje. Oto przykłady.

- Ktoś próbuje stworzyć poczucie sytuacji wyjątkowej - przestępcy liczą na to, że popełnisz wtedy błąd.
- Ktoś próbuje uzyskać informacje, do których nie powinien mieć dostępu lub które powinien znać, np. numery kont.
- Ktoś prosi o twoje hasła dostępu - żadna organizacja nigdy tego nie robi.
- Ktoś nakłania cię do zignorowania procedur lub procesów bezpieczeństwa w organizacji.
- Coś jest zbyt piękne, żeby było prawdziwe, np. wygrałeś iPhone’a w loterii, w której nie brałeś udziału.
- Odebrałeś wiadomość od przyjaciela lub kolegi z pracy, zawierającą wyrażenia, których zwykle nie używa. Przestępcy mogli przejąć jego konto i próbują cię zwieść. W takim przypadku spróbuj skontaktować się z nim inną drogą, np. przez telefon.

Jeśli podejrzewasz, że ktoś próbuje cię zaatakować, nie komunikuj się więcej z tą osobą. Jeśli atak ma związek z twoją pracą, upewnij się, że poinformowałeś o tym odpowiednie osoby w organizacji. Pamiętaj, zdrowy rozsądek jest twoją najlepszą obroną – radzą eksperci z CERT Polska.